windows二进制安全零基础(二)

文章目录

• [栈（The Stack）](#栈（The Stack）)
• [调用约定（Calling Conventions）](#调用约定（Calling Conventions）)
• 函数返回机制

---

在x86架构中，栈（Stack）是一个非常重要的内存区域，它用于支持线程的短期数据需求，如函数调用、局部变量存储和程序控制信息。下面是对栈和调用约定的详细介绍：

栈（The Stack）

栈是一种后进先出（LIFO）的数据结构，CPU通过专用的PUSH和POP汇编指令来操作栈。当线程执行时，它会从程序映像或动态链接库（DLLs）中执行代码。每个运行中的线程都有自己的栈，以支持多线程的独立执行。

• PUSH：将数据压入栈顶。
• POP：从栈顶弹出数据。

栈的主要用途包括：

• 函数调用：存储函数的返回地址，以便函数执行完毕后能够返回到正确的代码位置。
• 局部变量：存储函数内部声明的局部变量。
• 程序控制信息：存储函数调用时的上下文信息，如寄存器的值。

调用约定（Calling Conventions）

调用约定定义了函数如何接收参数以及如何返回结果。x86架构支持多种调用约定，它们在实现上的差异包括参数和返回值的传递方式（使用CPU寄存器、压入栈中或两者结合）、传递顺序、调用前后栈的准备和清理方式，以及被调用函数需要为调用者保留哪些CPU寄存器。

常见的x86调用约定包括：

• cdecl：由调用者清理栈。通常用于C语言函数，允许函数有可变数量的参数。
• stdcall：由被调用者清理栈。通常用于Windows API函数。
• fastcall：前两个参数（如果有的话）通过寄存器传递，其余参数通过栈传递。用于快速函数调用。
• thiscall：通常用于C++成员函数。第一个参数（this指针）通过ECX寄存器传递，其余参数通过栈传递。

调用约定的选择通常由编译器决定，但在某些情况下，程序员可以在函数级别指定特定的调用约定。这可以通过函数声明时的调用约定关键字来实现。

调用约定的选择对程序的性能和兼容性有重要影响。例如，使用寄存器传递参数可以减少栈操作，从而提高函数调用的速度。而不同的调用约定也可能影响函数之间的接口兼容性，因此在跨模块调用时需要特别注意调用约定的一致性。

---

在x86架构中，函数返回机制和CPU寄存器是理解程序执行流程的关键。下面是对这些概念的详细解释：

函数返回机制

当线程中的代码调用一个函数时，它必须知道函数完成后返回到哪个地址。这个"返回地址"（连同函数的参数和局部变量）存储在栈上。这些数据的集合与一个函数调用相关联，并存储在栈内存的一个部分，称为栈帧（stack frame）。栈帧是函数调用期间用于存储所有必要信息的数据结构。

一个典型的栈帧可能包含以下内容：

• 返回地址：函数执行完毕后，控制权返回到此地址。
• 参数：调用函数时传递的参数。
• 局部变量：函数内部声明的变量。
• 旧的基指针（EBP）：用于指向当前栈帧的开始位置。

当函数结束时，返回地址从栈中取出，用于将执行流恢复到调用函数。

为了执行高效的代码，CPU维护并使用一系列寄存器。在32位架构中，这些寄存器通常是32位的。寄存器是CPU内部的小型、极高速的存储位置，数据可以在这里高效地读取或操作。

在x86架构中，有九个主要的32位寄存器，包括：

• EAX：累加器，用于存储函数返回值。
• EBX：基址寄存器，通常用于存储数据段的地址。
• ECX：计数器，用于循环和字符串操作。
• EDX：数据寄存器，用于I/O操作和与EAX一起存储大数值。
• ESI：源索引寄存器，用于字符串和数组操作。
• EDI：目标索引寄存器，用于字符串和数组操作。
• ESP：栈指针，指向栈顶。
• EBP：基指针，用于访问栈帧中的变量。
• EIP：指令指针，存储下一条要执行的指令的地址。

这些寄存器的名称源自16位架构，并在32位（x86）平台出现时进行了扩展，这就是寄存器缩写中字母"E"的来源（表示"扩展"）。每个寄存器可以包含一个32位值（允许值在0到0xFFFFFFFF之间），或者在相应的子寄存器中包含16位或8位值，如EAX寄存器的AX、AH和AL子寄存器所示。

在CPU级别，函数调用和返回涉及到以下几个步骤：

1. 函数调用：

   • 使用CALL指令调用函数时，CPU自动将下一条指令的地址（返回地址）推入栈中。
   • 控制权转移到函数的起始地址。

2. 函数执行：

   • 函数可能使用PUSH和POP指令来保存和恢复寄存器的值。
   • 局部变量和参数可以通过修改ESP（栈指针）来在栈上分配空间。

3. 函数返回：

   • 使用RET指令从栈中弹出返回地址，并将其赋值给EIP（指令指针）。
   • 控制权返回到调用函数，继续执行。

理解这些机制对于深入理解程序如何在底层工作至关重要，尤其是在调试和性能优化时。

ESP - 栈指针

正如之前提到的，栈用于存储数据、指针和参数。由于栈是动态的，并且在程序执行过程中不断变化，栈指针ESP通过存储一个指向栈上最近引用位置（栈顶）的指针来"跟踪"它。

指针是对内存中地址（或位置）的引用。当我们说一个寄存器"存储一个指针"或"指向"一个地址时，这基本上意味着该寄存器正在存储那个目标地址。

EBP - 基指针

由于在执行线程期间栈不断变化，函数定位其栈帧可能变得困难，栈帧存储了所需的参数、局部变量和返回地址。基指针EBP通过存储一个指向函数被调用时栈顶的指针来解决这个问题。通过访问EBP，函数在执行期间可以轻松引用其栈帧中的信息（通过偏移量）。

EIP - 指令指针

EIP，指令指针，是我们目的中最重要的寄存器之一，因为它总是指向下一个要执行的代码指令。由于EIP基本上指导了程序的流程，因此在利用任何内存破坏漏洞（如缓冲区溢出）时，它是攻击者的主要目标。

2.2 Windows调试器简介

现在我们已经理解了x86架构的基本概念，是时候探索调试工具了。

在Windows上有几个可用的调试程序。OllyDbg和Immunity Debugger因其用户友好的界面而在逆向工程和漏洞开发领域广为人知。Immunity Debugger最初是OllyDbg的一个分支，但现在已经超越了OllyDbg的功能。

尽管这些程序使用方便，虽然存在一个针对64位的OllyDbg的开源实现，但它并不提供与WinDbg相同的功能或支持。

WinDbg也是我们首选的调试器，因为它可以在用户模式和内核模式下进行调试，这使其成为开发在Windows上利用的任何类型漏洞的最佳选择。WinDbg作为软件开发工具包（SDK）、Windows驱动程序开发工具包（WDK）和Windows调试工具的一部分，免费提供。

微软发布了一个名为WinDbg Preview的WinDbg版本。它具有更直观的界面以及额外的功能，如时间旅行调试和用于脚本支持的JavaScript API。然而，WinDbg Preview仅在Windows 10周年纪念版（1607/RS1）及更高版本上工作。

调试器是一个计算机程序，它被插入到目标应用程序和CPU之间，原则上，它就像一个代理。调试器允许开发者暂停程序的执行、单步执行代码、检查和修改程序的状态，以及执行其他各种诊断任务，从而帮助开发者理解和修复程序中的错误或异常行为。